Windows con menos vulnerabilidades que Linux, MacOS y Android
Un artículo publicado por TheBestVPN con los datos de la Base de Datos del Instituto Nacional de Estándares y Tecnología de Estados Unidos, muestra el número de vulnerabilidades de software registradas en el periodo desde 1999 a 2019 en sistemas operativos y aplicaciones. Y el resultado puede sorprender a más de un usuario cuando vea a Debian Linux (seguramente el desarrollo GNU/Linux más prestigioso y base para otras muchas distribuciones) a la cabeza del listado.
También puede sorprender la posición del propio kernel Linux, la de Ubuntu o la de Mac OS X. Y la baja posición relativa de Windows 10, aunque hay que aclarar que éste solo tiene cuatro años de vida, mientras que el resto de soluciones se han enfrentado a los 20 años del periodo analizado.
El Instituto define estas "vulnerabilidades técnicas" como "aquella característica o configuración que puede ser explotada por un atacante para obtener acceso no autorizado o hacer un mal uso de una red y sus recursos". En este punto convendría matizar que el número de vulnerabilidades no es en sí una indicación directa de un software "más seguro".
El dato de vulnerabilidades de software registrado en 2019 es menos sorprendente y otro Linux como Android encabeza el listado. Debian Linux no está muy atrás y Windows 10 y Windows Server completan el top-5.
En cuanto al número total de vulnerabilidades por proveedor, Microsoft se lleva la palma ante la gran cantidad de software y servicios que tiene en el mercado y que van mucho más allá de Windows. Lo mismo podemos decir de los siguientes, Oracle, IBM, Google y Apple.
Por supuesto, también hay que tener en cuenta la transparencia de los investigadores para publicarlas, porque hay algunas que solo se conocen meses o incluso años después. La auditoría en el código abierto es total, mientras que en software propietario es mucho más complicado. Muchas veces no es por ocultación, sino que la vulnerabilidad es tan grave que conviene no publicarla hasta que no haya un parche disponible. No siempre es así. Influyen cuestiones comerciales y hay otras -de las que se sospecha- que ni siquiera se conoce su existencia.
La Base de Datos del Instituto Nacional de Estándares y Tecnología de Estados Unidos también ofrece un listado realizado según la calificación de gravedad CVSS desde 1 a 10 puntos. Este sí es un indicador más claro y consistente. Aquí, Adobe y Microsoft se llevan la palma en las vulnerabilidades de software de los últimos 20 años. Vemos Flash Player, Acrobat, IE, MS Office o los Windows, XP, Vista o 2000. Muchos de ellos ya sin soporte técnico y que directamente hay que descartar su uso.
Volvemos a incidir en lo expresado: un mayor número de vulnerabilidades de un desarrollo no quiere decir directamente que sea más inseguro que otro y hay que valorar otros aspectos más importantes.
Fuente: MuyComputer
También puede sorprender la posición del propio kernel Linux, la de Ubuntu o la de Mac OS X. Y la baja posición relativa de Windows 10, aunque hay que aclarar que éste solo tiene cuatro años de vida, mientras que el resto de soluciones se han enfrentado a los 20 años del periodo analizado.
El Instituto define estas "vulnerabilidades técnicas" como "aquella característica o configuración que puede ser explotada por un atacante para obtener acceso no autorizado o hacer un mal uso de una red y sus recursos". En este punto convendría matizar que el número de vulnerabilidades no es en sí una indicación directa de un software "más seguro".
En cuanto al número total de vulnerabilidades por proveedor, Microsoft se lleva la palma ante la gran cantidad de software y servicios que tiene en el mercado y que van mucho más allá de Windows. Lo mismo podemos decir de los siguientes, Oracle, IBM, Google y Apple.
Vulnerabilidades de software ¿Solo es importante su número?
Para destacar la seguridad del software hay que tener en cuenta otros aspectos más importantes más allá del número de vulnerabilidades. Como la calificación de su gravedad; el índice de explotabilidad y su método remoto o con acceso físico para realizar los ataques; cuánto se ha tardado en su detección, e, importante, en cuánto tiempo ha estado disponible el parche para solucionarla, un aspecto por el que precisamente, destaca el software de código abierto donde los parches suelen estar listos en breve espacio de tiempo.Por supuesto, también hay que tener en cuenta la transparencia de los investigadores para publicarlas, porque hay algunas que solo se conocen meses o incluso años después. La auditoría en el código abierto es total, mientras que en software propietario es mucho más complicado. Muchas veces no es por ocultación, sino que la vulnerabilidad es tan grave que conviene no publicarla hasta que no haya un parche disponible. No siempre es así. Influyen cuestiones comerciales y hay otras -de las que se sospecha- que ni siquiera se conoce su existencia.
La Base de Datos del Instituto Nacional de Estándares y Tecnología de Estados Unidos también ofrece un listado realizado según la calificación de gravedad CVSS desde 1 a 10 puntos. Este sí es un indicador más claro y consistente. Aquí, Adobe y Microsoft se llevan la palma en las vulnerabilidades de software de los últimos 20 años. Vemos Flash Player, Acrobat, IE, MS Office o los Windows, XP, Vista o 2000. Muchos de ellos ya sin soporte técnico y que directamente hay que descartar su uso.
Volvemos a incidir en lo expresado: un mayor número de vulnerabilidades de un desarrollo no quiere decir directamente que sea más inseguro que otro y hay que valorar otros aspectos más importantes.
Fuente: MuyComputer
Realmente comparan una version con toda una distro? Por que no Windows como uno solo y contar las de debian 8, otra de debian 9 otra de debian 10? las publicaciones serias. de paso una separada en server y la otra no. el comparativo del titulo esta en los vendors, lo cual el titulo esta mal. no voy a seguir con esto, ya se tienen dar cuenta
ResponderBorrarEs fácil entender dónde está el problema con esta encuesta, tomemos Debian como ejemplo, él solo carga sobre su espalda el conteo total de errores de los 20 años, mientras que a los Windows se los contabiliza versión por versión 7, 8, 10 etc. Si sumáramos todos los errores de todos los windows arrancando desde el W98 en adelante la cosa sería mas justa.
ResponderBorrar